Comparte en:

RGPD - Reglamento General de Protección de Datos

¿Qué es el RGPD? Novedades y cambio de concepto

El Reglamento general de protección de datos («RGPD» o su acrónimo en inglés GPDR ) es la nueva regulación europea de privacidad de datos que reemplaza a la Directiva de protección de datos de la UE («Directiva 95/46/CE»). El RGPD aborda el procesamiento de datos personales y la libre circulación de dichos datos. Tiene como objetivo reforzar la seguridad y la protección de los datos personales en la UE, y armonizar la legislación europea de protección de datos. En general, establece una serie de principios y requisitos de protección de datos que se deben respetar cuando se procesan datos personales.

Uno de los aspectos clave del RGPD es que crea coherencia entre los estados miembros de la UE sobre cómo los datos personales se pueden procesar, usar e intercambiar de forma segura. Las organizaciones necesitan demostrar la seguridad de los datos que están procesando y el cumplimiento del RGPD de forma continua, al implementar y revisar regularmente las medidas técnicas y las organizativas sólidas, así como también las políticas de cumplimiento.

Entre los muchos cambios normativos que el nuevo Reglamento de Protección de Datos Personales incluye respecto a la anterior normativa, la LOPD, destacamos cinco:

  1. El RGPD exige una mayor transparencia en la información proporcionada a los interesados, que se deberá proporcionar de forma estructurada, clara y accesible.
  2. Además, establece unas condiciones para la prestación del consentimiento al tratamiento de los datos más exigentes que las que marcaba la LOPD, exigiéndose ahora el consentimiento expreso, que desplaza al consentimiento tácito.
  3. Amplía los tradicionales Derechos ARCO (de acceso, rectificación, cancelación y oposición) que ya contemplaba la LOPD, incorporando ahora los derechos a la limitación del tratamiento de los datos y a la portabilidad de los mismos.
  4. Así mismo, se establece la obligación de comunicar las violaciones de seguridad de los datos, a ser posible, en un plazo máximo de 72 horas desde su descubrimiento.
  5. Dos principios fundamentales:
    1.  Clompliance documental: dejar evidencias de todas las actuaciones realizadas
    2.  Responsabilidad proactiva o “accountability”:  implica que el responsable del tratamiento tenga que aplicar medidas técnicas y organizativas adecuadas para cumplir y demostrar el cumplimiento de la normativa aplicable sobre protección de datos personales, en atención al riesgo que conlleve su tratamiento

Por otra parte, la autoridad competente para ejercer el control de la normativa será la del lugar donde el responsable del tratamiento de los datos cuente con su establecimiento principal o sede central de operaciones.

Algunas sugerencias para los abogados que usan nubbius con respecto al RGPD

Recordemos que el cumplimiento no es una pegatina de la ITV que certifica algo, es una actitud permanente, huyamos de los sellos que garantizan estar adaptados o de las expresiones “CUMPLE RGPD”, pues con el nuevo concepto normativo que nos trae el RGPD, nadie cumple al 100% y todos debemos estar en una permanente actitud vigilante y en una permanente actualización y formación de los miembros del despacho.

Éstos son los pasos que un despacho de abogados debería seguir para poder acreditar un buen nivel de cumplimiento de cara al RGPD.

 

  1. Elaborar un registro de actividades de tratamiento teniendo en cuenta su finalidad y su base jurídica. Es el conocido como “RAT”, y es el mapa de datos del despacho, donde debemos indicar quienes somos, que tratamientos tenemos y como está estructurado en función de nuestros clientes, habrá otras descripciones como qué comunicaciones de datos se realizan, y a quien, medidas de seguridad, etc... Se deberá ir actualizando con el paso del tiempo si cambian las circunstancias, proveedores, responsables, etc..
  2. Adaptar las cláusulas informativas y cauces de entrada de la información en el despacho. Hoja de encargo, página web, formularios, contratos, propuestas, etc… identificar aquellos cauces de entrada de datos donde debemos informar a los clientes que sus datos son objeto de tratamiento, finalidad, conservación, comunicación, y que pueden ejercer sus derechos. La redacción viene regulada en los artículos 13 y 14 del nuevo RGPD y deja claro la información que se debe dar. Es nuestra obligación auditar y evaluar todos los cauces de entrada de información y adaptarlos al RGPD.
  3. Realizar una evaluación de los riesgos del despacho: Con el RGPD se pide realizar un análisis de riesgo y establecer una serie de medidas que mitiguen esos riesgos. Crear el listado de vulnerabilidades, clasificarlas y subsanar aplicando medidas de seguridad, reportando todo en una suerte de evidencias documentales que deberá archivar el responsable para demostrar cumplimiento evolutivo. En este sentido, el CGAE sacó hace meses una Guía de gestión de riesgos y que la propia AEPD publicó la suya junto con la evaluación de impacto en los datos personales.
  4. Conservar la información y tenerla a disposición: También debemos señalar cuánto tiempo vamos a conservar esa información en el despacho. Se puede mantener por un plazo de seis años o incluso un plazo de diez o quince años por el tema de la prevención del blanqueo de capitales. Ese plazo también lo debemos indicar.
  5. Valorar contar con la figura del Delegado de Protección de Datos (DPO). Esta medida no es obligatoria para los bufetes, pero puede ayudar mucho en la gestión de la privacidad de los despachos. Además, el modelo es flexible puede estar en el despacho o externalizarse como gestor de la privacidad.
  6. Formación continua en privacidad. Tener la información y formación adecuada para afrontar este reto en el despacho es crucial. Deberá poder acreditarse las acciones formativas, para ello se recomienda reportarlas y hacer listado de asistentes firmado. Existe multitud de material en el INCIBE (www.incibe.es) para sensibilizar y concienciar a los miembros del despacho, con videos, documentos y presentaciones. La formación y el acceso a las alertas de ciberseguridad es clave para cualquier despacho:
  7. Desarrollar evaluaciones de impacto en la protección de datos. Tal y como ha indicado la propia AEPD, esa evaluación de impactos no es necesaria para esos tratamientos tradicionales, donde no se cambian procedimientos ni se incorpora tecnología, no es necesaria hacerla para esos tratamientos de datos habituales que no se han modificado a lo largo de los años. 

  8. Establecer mecanismos y procedimientos de notificación de brechas de seguridad por alguna incidencia en el despacho: Esta notificación, en función de su gravedad debe hacerse a las 72 horas de producirse tanto a la AEPD como al propio usuario. Las excepciones están ahí, siempre y cuando no haya un riesgo para los derechos de los propios clientes y afectados. La propia entidad tendrá que hacer un informe de lo que ha pasado para valorar la situación tras el incidente, luego habrá que gestionar bien esa crisis generada por la brecha de seguridad para evitar que genere un problema de reputación al bufete, evaluando las comunicaciones a clientes, la adopción de medidas de contención, etc..

  9. Revisar MEDIDAS DE SEGURIDAD a la luz de los resultados del análisis de riesgos. Junto con las medidas convencionales de contraseñas y copias de seguridad, las empresas en general y los despachos de abogados en particular tendrán que tomar otras medidas. A este respecto el cifrado de la información ayuda mucho a la hora de evitar pérdidas de información por cualquier ciberataque.Al mismo tiempo, se pueden utilizar sistemas de gestión de base de datos de cliente que estén en la nube como es el caso de nubbius, nunca en local. Esto representa el mejor plan de contingencia, al estar respaldada toda la información del despacho en un cloud confiables, evaluado y que permita reestablecer el sistema en caso de ataque/robo de la información.

  10. Adaptarse al nuevo RGPD es concienciación y sensibilización. Hay que darse cuenta de que adaptarse al nuevo RDPG no es un coste económico importante. Supone asimilar un nuevo modelo de privacidad, más proactivo que la tradicional inscripción de ficheros de datos en la AEPD. Al final, poder acreditar un óptimo nivel de cumplimiento representa un avance competitivo para empresas y despachos respecto a otros que no lo tengan. Ahora es más importante cumplir que demostrar que cumples, ahorrando tramites burocráticos como la inscripción de ficheros, que toda empresa, y en concreto un despacho de abogados lleva implicita en su actividad.

El CGAE (Consejo General de la Abogacía Española) ha puesto a disposición de todos los abogados de España, una información interesante y muy útil en su Página web: https://www.abogacia.es/actualidad/especiales/proteccion-de-datos-para-abogados/ 

Detalle de medidas adoptadas por nubbius para cumplir con el RGPD

Dentro de las medidas llevadas a cabo, a título explicativo y no limitativo, se describen y detallan las siguientes:

  1. Se ha procedido a un análisis de riesgos externo de la aplicación, habiéndose clasificado y subsanado las vulnerabilidades que se detectaron en su origen.
  2. Respecto a los encargados de tratamiento con acceso a datos, en primer lugar, se han solicitado las correspondientes garantías de cumplimiento e idoneidad conforme al nivel de datos accedido y el tipo de servicio prestado, archivadas y clasificadas esas evaluaciones previas, se ha procedido a la firma de los correspondientes contratos de acceso a datos conforme a la nueva normativa.
  3. Se han definido los roles internos conforme a la normativa, existiendo un Responsable de Sistemas, un Responsable de seguridad interno, y un Delegado de Protección de Datos Externo: Masalbe Servicios Globales, S.L. designado oficialmente ante el Registro de la AEPD, contacto: dpo@nubbius.com 
  4. El responsable cuenta con su directorio de contenidos RGPD, donde existen: anexos para los ejercicios de derechos, anexos de uso interno para la comunicación de brechas de seguridad a la AEPD o al afectado, inventario y descripción de la red informática, plan de contingencia y continuidad, documentos descriptivos de copia de seguridad, listado de aplicaciones autorizadas de uso interno, Normas de uso de los equipos.
  5. El personal y empleados han sido informados y han recibido charlas de concienciación y sensibilización para el correcto cumplimiento de la nueva normativa y para asegurar la confidencialidad y privacidad.
  6. Existencia de protocolos internos para asegurar una correcta reacción ante incidentes informáticos, detección (todos los empleados se encuentran suscritos al servicio de alertas del OSI y del INCIBE y CERT), gabinete de crisis, responsable de sistemas, formularios de comunicación de brechas a la AEPD/afectado, etc.
  7. Todos los cauces de entrada de información de la empresa han sido auditados y adaptados, incluida la página web, formularios, contratos tipo, etc. Cumpliendo con el deber de información y transparencia exigidos por el art 13 y ss. del RGPD.
  8. Existe un Registro Interno de Actividades de Tratamiento conforme al Art. 30 del RGPD a disposición de la autoridad de control.
  9. Se cuenta con una dirección específica de contacto con el Responsable de Seguridad de Protección de Datos designado: dpo@nubbius.com

Toda la información, documentos y protocolos citados, se almacenan en un directorio cloud, de entorno seguro, donde se mantiene actualizado y accesible a los implicados, con todo su historial de actualizaciones que permiten acreditar un cumplimiento evolutivo.
 

Abogado, ¿qué características de nubbius te ayudan a cumplir con el RGPD?

  1. Permite el consentimiento expreso
    De acuerdo con el nuevo reglamento, uno de los pilares del tratamiento de datos personales es la necesidad de consentimiento por parte del titular de datos. Este consentimiento tiene que ser dado de forma informada y libre. Al proporcionar su consentimiento, el interesado tiene que entender, de forma clara, la finalidad específica de la utilización de datos.
    nubbius proporciona mecanismos que permiten obtener el consentimiento informado, explícito y por acto inequívoco a través de Avisos Legales claros que cada responsable deberá personalizar. Por ejemplo, cuando el usuario da de alta a un cliente, éste debe ser informado sobre las condiciones de utilización de los datos y tiene que ser explícito sobre qué datos va a guardar en todo este proceso y con qué finalidad lo va a realizar. Este consentimiento no puede ser dado por defecto, es decir, el usuario tiene que seleccionar activamente su consentimiento para la cesión de datos.
  2. Simplifica el derecho al acceso, olvido y a la rectificación de datos
    El reglamento establece también que cualquier titular puede exigir el acceso a sus propios datos, rectificar ciertos datos e incluso ser «olvidado» (es decir, que sus datos sean eliminados).  Para garantizar que respondes a este tipo de solicitudes, podrás buscar los respectivos datos en Nubbius, rastreando los datos existentes para identificar la información específica de un determinado titular, permitiendo además realizar diversas acciones sobre los datos identificados, como rectificar o eliminar.
  3. Incorporaba el derecho a la portabilidad de los datos antes de ser legislado
    Si un usuario / cliente de nubbius decide dejar de utilizar el servicio, tiene a su disposición para su descarga en un formato estandar los datos que nubbius ha gestionado durante la utilización del servicio.
  4. Proporciona información a los titulares de los datos
    En el ámbito de este reglamento, las empresas están obligadas a prestar más información al titular de los datos. Esto se aplica, por ejemplo, a aspectos como la base legal para el tratamiento de datos, el plazo de conservación de los datos o la posibilidad que se le da al titular de los datos personales de presentar una queja ante la Autoridad de Control de Protección de Datos.
  5. Posibilita la creación de niveles de permisos
    nubbius garantiza que los datos personales sean tratados de forma segura y confidencial para aquellos usos debidamente consentidos por los titulares y que no sean accedidos por personas no autorizadas. nubbius te permite crear diferentes niveles de acceso a los registros, de acuerdo con las funciones y necesidades de cada empleado, así como la posibilidad de registrar cada uso (fecha y finalidad) de los datos personales (para una campaña de marketing, por ejemplo), además de una auditoría de las acciones realizadas en la creación, gestión de información.
  6. Permite evidenciar el cumplimiento y permite la rastreabilidad de los datos
    Las organizaciones tienen que ser capaces de probar que cumplen con el reglamento y que los datos personales que guardan son lícitos, seguros y confidenciales y han sido captados a través de consentimiento informado y explícito. Además, deben también probar que poseen sistemas capaces de monitorizar si las políticas y procedimientos están realmente siguiéndose. nubbius permite la rastreabilidad de los datos y que todo el proceso de tratamiento de los datos del cliente esté registrado (contactos, autorizaciones por parte del cliente, motivos de contacto, etc.) Nubbius registra todos estos datos para asegurar que todo el proceso está debidamente controlado y que todas las políticas, instrucciones internas y procedimientos se están siguiendo correctamente y pueden ser enviados a las entidades supervisoras.